![\"esxi1\"](\"https:\/\/vm.piszki.pl\/wp-content\/uploads\/2018\/05\/esxi1.jpg\" "\\"esxi1\\"")
<\/a><\/p>\n<\/p>\n
ESXi 6.7 wykorzystuje funkcj\u0119 Secure Boot w po\u0142\u0105czeniu z uk\u0142adem TPM 2.0. Oznacza to, \u017ce startuj\u0105c ESXi mamy gwarancj\u0119, \u017ce uruchamiane oprogramowanie jest zweryfikowane cyfrowo i nie uleg\u0142o zmianie (nie zosta\u0142o podmienione). Czemu to jest wa\u017cne? W dzisiejszych czasach, czasach SDS, wi\u0119kszo\u015b\u0107 serwer\u00f3w jest uruchamiana z wewn\u0119trznej karty SD lub urz\u0105dzenia USB. W wi\u0119kszo\u015bci serwer\u00f3w taka karta jest dost\u0119pna bez otwierania obudowy (Dell). Kart\u0119 mo\u017cna wyj\u0105\u0107, skopiowa\u0107, wprowadzi\u0107 kilka zmian i w\u0142o\u017cy\u0107 ponownie. TPM daje nam informacj\u0119, czy przy restarcie taki serwer nie zosta\u0142 zmanipulowany. Abstrakcja? Na \u015bwiecie ci\u0105gle najpopularniejszym atakiem jest Man in the Middle. W tym artykule poka\u017c\u0119 jak skonfigurowa\u0107 ca\u0142o\u015b\u0107 w przyst\u0119pny spos\u00f3b na przyk\u0142adzie serwera HP DL20 Gen9 (kt\u00f3ry zago\u015bci\u0142 w moim labie i o kt\u00f3rym ju\u017c nied\u0142ugo napisz\u0119 osobny artyku\u0142). Na pocz\u0105tku pos\u0142u\u017c\u0119 si\u0119 grafik\u0105 ze strony VMware pokazuj\u0105c\u0105 sekwencj\u0119 startu ESXi.<\/p>\n
W\u0142\u0105czamy pr\u0105d, host \u0142aduje UEFI kt\u00f3re sprawdza Boot Loader, ESXi startuje. VMKBoot komunikuje si\u0119 z TPM, informacje na temat hosta s\u0105 wysy\u0142ane do vCenter aby sprawdzi\u0107 czy wszystko jest OK. Szeczeg\u00f3\u0142owo ten aspekt zosta\u0142 om\u00f3wiony w tym artykule<\/a>. I tu pojawia si\u0119 ograniczenie, pojedynczy host, bez vCenter lub z uruchamianym na nim vCenter, nie mo\u017ce zosta\u0107 w tej sekwencji sprawdzony. Zawsze wi\u0119c w takiej sytuacji pojawi si\u0119 powy\u017cszy komunikat o braku za\u015bwiadczenia. Konfiguracj\u0119 rozpoczynamy od serwera, w przypadku HP wchodzimy do UEFI \u2013> RBSU \u2013> Server Security:<\/p>\n W tym miejscu mo\u017cemy przede wszystkim wy\u0142\u0105czy\u0107 TPM lub wy\u0142\u0105czy\u0107 widoczno\u015b\u0107 TPM dla hosta, zamyka to oczywi\u015bcie temat. W innym wypadku w\u0142\u0105czamy TPM i jego widoczno\u015b\u0107 dla hosta. Dodatkowo w\u0142\u0105czamy Secure Boot i restartujemy serwer.<\/p>\n W trakcie wy\u015bwietlania komunikat\u00f3w POST wyra\u017anie widoczna jest informacja, \u017ce UEFI Secure Boot jest w\u0142\u0105czone.<\/p>\n Konfiguracja dla TPM jest tworzona w momencie dodawania hosta do vCenter, je\u015bli mamy ju\u017c host w Inventory to musimy przeprowadzi\u0107 operacj\u0119 Disconnect\/Connect. W jej trakcie generowane s\u0105 skr\u00f3ty (hash) kt\u00f3re s\u0105 zapisywane w TPM i w vCenter. Podczas kolejnego restartu host skr\u00f3ty zostan\u0105 por\u00f3wnane i je\u015bli wszystko b\u0119dzie ok to w sekcji vCenter \u2013> Monitor \u2013> Security zobaczymy informacj\u0119 \u017ce host przeszed\u0142 poprawnie weryfikacj\u0119.<\/p>\n I to w zasadzie tyle, zastosowanie tego mechanizmu zwi\u0119ksza bezpiecze\u0144stwo \u015brodowiska. W tym artykule<\/a> znajdziecie pytania i odpowiedzi dotycz\u0105ce TPM w vSphere 6.7. Warto te\u017c doda\u0107, \u017ce w\u0142\u0105czenie TPM w ESXi 6.7 powoduje, \u017ce mo\u017cemy wykorzysta\u0107 TPM w wirtualnych maszynach (vTPM<\/a>). Jako \u017ce w samym uk\u0142adzie mo\u017cemy zapisywa\u0107 wiele informacji, bezpiecze\u0144stwo mo\u017cna rozszerzy\u0107 jednocze\u015bnie na hyperwizora jak i na wirtualne maszyny. Temat jest rozwojowy i my\u015bl\u0119, \u017ce VMware b\u0119dzie kontynuowa\u0142o ten projekt.<\/p>\n TMP to uk\u0142ad kt\u00f3ry przechowuje informacja pozwalaj\u0105ce na autentykacj\u0119 platformy sprz\u0119towej. Informacje te to certyfikaty, has\u0142a i klucze kryptograficzne. Zastosowa\u0144 dla tego uk\u0142adu jest wiele, np. wsparcie dla funkcji BitLocker w Windows. W przypadku vSphere, wsparcie dla TPM 2.0 pojawi\u0142o … Continue reading <\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n